Understanding CSRF and How to Prevent It in Your Application — Part 1 不安全 11 months ago 文章解释了跨站请求伪造(CSRF)攻击的工作原理:利用浏览器自动附带认证信息(如会话cookie)和服务器无法区分请求来源的特点,在用户不知情的情况下执行恶意操作(如银行转账)。
Open Sesame | Bugcrowd CTF 2025 不安全 11 months ago 文章描述了BlackHat Bugcrowd CTF 2025中的一个挑战,通过Cookie Manipulation技术获取管理员权限以访问特殊笔记中的flag。
Bypassing 403 & 401 Errors: All Hacker Techniques Revealed 不安全 11 months ago 文章介绍了如何绕过常见的403 Forbidden和401 Unauthorized错误,解释了这些错误的原因,并提供了通过改变HTTP方法等技巧来解决这些问题的方法。
CyberArk and HashiCorp Flaws Enable Remote Vault Takeover Without Credentials 不安全 11 months ago 研究人员发现CyberArk和HashiCorp的企业安全产品存在14个高危漏洞(统称为Vault Fault),包括身份验证绕过、权限提升和远程代码执行等。这些漏洞可能导致攻击者无需有效凭证即可控制企业系统并窃取敏感数据。相关厂商已发布补丁修复这些问题。
沉浸式翻译出现重大安全问题 用户生成的包含敏感数据的快照泄露在网上 不安全 11 months ago 沉浸式翻译因快照功能缺陷导致大量敏感数据泄露至互联网。用户生成的翻译快照未受保护,搜索引擎可直接抓取,暴露隐私信息如加密货币钱包私钥及商业合同等。建议用户检查数据泄露风险并采取补救措施,防止进一步损失。
Mastering Identity Modern Strategies for Secure Access 不安全 11 months ago 文章探讨了身份访问管理(IAM)的演变与未来趋势,从传统密码到现代无密码认证、自适应访问控制、区块链身份、微服务安全及AI驱动的安全措施等技术发展,并强调了合规性与应对新兴威胁的重要性。
GPT-5 炸裂发布 - 人人都能免费使用!实测能力让人又惊又喜… 不安全 11 months ago OpenAI发布GPT-5,全面提升智能与实用性,支持免费使用。内置智能路由系统自动切换模型,编程和写作能力显著增强,并新增健康咨询和多个人格模式。
沉浸式翻译拟禁止用户使用未认证第三方API引起众怒 现已火速删除公告 不安全 11 months ago 沉浸式翻译被收购后转向闭源,并禁止用户使用未认证的第三方 API 接口以防止被骗购买低价 API 密钥。此举引发用户强烈不满,软件方随后删除公告并澄清为调查问卷,承诺不会限制第三方服务使用。
经过3年测试后谷歌宣布放弃Steam for Chromebook 明年停止运行不再更新 不安全 11 months ago 谷歌宣布停止 Steam for Chromebook 测试版运行,2026 年初将停止更新并删除已安装游戏。该项目旨在让 Chromebook 用户玩 Linux 游戏,支持 99 款游戏,但因市场需求有限而终止。
永安在线金融行业案例 不安全 11 months ago 本文介绍了金融行业的安全解决方案案例,包括银行的反洗钱、黄牛攻防及营销欺诈防范,保险业务的安全建设与营销反欺诈措施,以及证券领域的反欺诈和数据资产保护方案。
Leaked Credentials Up 160%: What Attackers Are Doing With Them 不安全 11 months ago 文章探讨了组织凭据泄露的长期影响及其日益严重的威胁。数据显示,2024年凭据泄露占数据泄露事件的22%,超越钓鱼和软件漏洞。自动化工具如恶意软件和AI钓鱼使攻击更容易,且凭据常用于账户接管、密码填充等恶意活动。防范措施包括强密码策略、多因素认证及威胁检测技术。
RubyGems, PyPI Hit by Malicious Packages Stealing Credentials, Crypto, Forcing Security Changes 不安全 11 months ago 60个恶意RubyGems包伪装成社交媒体和 blogging 工具,自2023年3月以来被下载超27.5万次,窃取用户凭证。攻击者通过简单GUI收集信息,并将数据发送至特定服务器。部分包针对韩国用户和金融讨论平台。PyPI也检测到类似恶意包用于窃取加密货币。
From Chrome renderer code exec to kernel with MSG_OOB 不安全 11 months ago Google Project Zero团队发现Linux内核6.9及以上版本中存在一个安全漏洞(CVE-2025-38236),与UNIX域套接字的MSG_OOB功能相关。该漏洞允许攻击者通过特定的send和recv操作触发使用后释放(UAF)问题,从而实现权限提升。修复版本改进了对OOB消息的管理逻辑以避免指针悬空问题。
./mysqldump: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory 不安全 11 months ago 文章描述了在运行`mysqldump`时因缺少`libssl.so.1.1`和`libcrypto.so.1.1`共享库导致的错误,并提供了解决方案:通过Docker容器复制相关库文件并设置环境变量以解决问题。
Perimetro di sicurezza nazionale cibernetica, c’è il nuovo DPCM: perché è fondamentale conoscerlo 不安全 11 months ago 意大利于2025年8月1日发布法令,更新国家网络安全保障范围,新增未经授权访问或滥用特权相关事故类别。涉及能源、通信、经济金融等关键领域,旨在保护国家数字基础设施。
Microsoft will kill the Lens PDF scanner app for iOS, Android 不安全 11 months ago 微软宣布将于9月起逐步淘汰Microsoft Lens PDF扫描应用,并建议用户转向Microsoft 365 Copilot。